【ご案内】当サイトの閲覧には、SSL対応のブラウザをご利用ください。⇒WEBサイトの利用について

ホーム > お知らせ2015年一覧 >個人情報保護マネジメントシステムに係る代行を謳う事業者の利用について(注意喚起)

個人情報保護マネジメントシステムに係る代行を謳う事業者の
利用について(注意喚起)

平成27年1月30日
一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマーク推進センター


平素より、プライバシーマーク制度への格別のご理解とご支援を賜りますことに心より御礼申し上げます。

さて昨今、付与適格性審査の過程で、個人情報保護マネジメントシステム(以下、「PMS」という。)に係る代行を謳う事業者等(以下、「代行業者」という。)にPMSの構築から運用に至る活動(以下、「PMS運用」という。)及び付与適格性審査に係る申請・改善報告対応等を「丸投げ」している事業者が散見されております。プライバシーマーク制度は、事業者が主体的に構築したPMSの体制とその運用状況がJIS Q 15001:2006に適合しているかどうかを審査し、適合が認められた事業者にプライバシーマークを付与する制度です。JIS Q 15001:2006の3.1項「一般要求事項」には、「事業者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、かつ、改善しなければならない」と規定し、3.3.4項でも「(前略)個人情報保護管理者を事業者の内部の者から指名し、個人情報保護マネジメントシステムの実施及び運用に関する責任及び権限を他の責任にかかわりなく与え、業務を行わせなければならない。」とあります。この趣旨は、PMS運用を事業者自らが責任を持って行うことを求めるものです。

当センターで本件への調査を行いましたところ、代行業者を利用される事業者各位においては、代行業者が提供・作成する運用方法、様式・記録等を最適化することなくそのまま使用したり、代行業者を現地審査時に同席させ改善報告書の作成まで対応させる等、自らの事業の実態に即したPMS運用が行えていない事実が多く見受けられました。このようなPMS運用は、当制度でいう「事業者自らが責任をもって運用する」PMSの趣旨に沿うものではございません。また、事業者の事業実態との整合がとれていないと、不適合への指摘件数が増え、大幅な内容の改善対応が必要となり、結果的に付与適格性決定に至るまで多大な時間と労力を要している実態も明らかになっております。更に申請事業者ではなく代行業者が当センターに書類を提出する際、誤配送の事故も起きており、当該申請事業者の責任が問われる事態にもなっております。

プライバシーマーク制度は、コンサルタント事業者等が提供する専門サービスを活用し、教育や内部監査等の支援を受ける等、客観的な助言等を取り入れてPMS運用について効率的・効果的に取り組むことを否定するものではございません。事業者各位におかれましては、本制度の趣旨を再度ご理解いただき、代行業者にPMS運用を「丸投げ」することなく、自ら責任をもって実践して付与適格性審査に臨んでいただきますよう、重ねてお願いする次第です。